Ayude a mejorar esta página
Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.
Obtenga información sobre cómo administrar el acceso a su clúster de Amazon EKS. El uso de Amazon EKS requiere saber cómo Kubernetes y AWS Identity and Access Management (AWS IAM) gestionan el control de acceso.
Esta sección incluye:
Concesión a los usuarios y roles de IAM de acceso a las API de Kubernetes: obtenga información sobre cómo permitir que las aplicaciones o los usuarios se autentiquen en la API de Kubernetes. Puede usar entradas de acceso, el aws-auth ConfigMap o un proveedor de OIDC externo.
Visualización de los recursos de Kubernetes en la AWS Management Console: obtenga información sobre cómo configurar la AWS Management Console para que se comunique con su clúster de Amazon EKS. Utilice la consola para ver los recursos de Kubernetes en el clúster, como espacios de nombres, nodos y pods.
Conexión de kubectl a un clúster de EKS mediante la creación de un archivo kubeconfig: obtenga información sobre cómo configurar kubectl para que se comunique con su clúster de Amazon EKS. Use la CLI de AWS para crear un archivo kubeconfig.
Concesión de acceso a las cargas de trabajo de Kubernetes a AWS mediante las cuentas de servicio de Kubernetes: obtenga información sobre cómo asociar una cuenta de servicio de Kubernetes con roles de AWS IAM. Puede usar los roles de IAM o de Pod Identity para las cuentas de servicio (IRSA).
Tareas comunes
-
Conceda a los desarrolladores acceso a la API de Kubernetes. Visualice los recursos de Kubernetes en la AWS Management Console.
-
Solución: utilice las entradas de acceso para asociar los permisos de RBAC de Kubernetes a los roles o usuarios de AWS IAM.
-
-
Configure kubectl para que se comunique con un clúster de Amazon EKS mediante credenciales de AWS.
-
Solución: utilice la CLI de AWS para crear un archivo kubeconfig.
-
-
Utilice un proveedor de identidad externo, como Ping Identity, para autenticar usuarios en la API de Kubernetes.
-
Solución: vincule un proveedor de OIDC externo.
-
-
Conceda a las cargas de trabajo de su clúster de Kubernetes la capacidad de llamar a las API de AWS.
-
Solución: use Pod Identity para asociar un rol de AWS IAM a una cuenta de servicio de Kubernetes.
-
Introducción
-
Obtenga información sobre cómo funcionan las cuentas de servicio de Kubernetes.
-
Revise el modelo de control de acceso basado en roles (RBAC) de Kubernetes
-
Para obtener más información sobre la gestión del acceso a los recursos de AWS, consulte la Guía del usuario de AWS IAM. Como alternativa, haga una formación introductoria gratuita sobre el uso de AWS IAM
.
Consideraciones para el modo automático de EKS
El modo automático de EKS se integra con las entradas de acceso de EKS EKS y EKS Pod Identity.
-
El modo automático de EKS utiliza entradas de acceso para conceder permisos de Kubernetes al plano de control de EKS. Por ejemplo, las políticas de acceso permiten al modo automático de EKS leer información sobre puntos de conexión y servicios de red.
-
No puede desactivar las entradas de acceso en un clúster de modo automático de EKS.
-
Si lo desea, puede habilitar
aws-authConfigMap. -
Las entradas de acceso para el modo automático de EKS se configuran automáticamente. Puede ver estas entradas de acceso, pero no puede modificarlas.
-
Si utiliza una NodeClass para crear un rol de IAM de nodo personalizado, deberá crear una entrada de acceso para el rol mediante la política de acceso AmazonEKSAutoNodePolicy.
-
-
Si quiere conceder permisos de carga de trabajo para los servicios de AWS, utilice EKS Pod Identity.
-
No necesita instalar el agente de Pod Identity en los clusters de modo automático de EKS.
-
